Compartilhar via

Pure Signal Scout

  • Artigo

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Pure Signal Scout O plug-in Pure Signal Scout da Team Cymru permite aos clientes Security Copilot recolher informações detalhadas sobre ameaças em endereços IP e domínios em tempo real. O Scout oferece velocidade, precisão e visibilidade incomparáveis, ajudando os analistas de segurança a tomar decisões mais rápidas e informadas. As funcionalidades avançadas do Scout garantem que as equipas de segurança se mantêm à frente das ameaças cibernéticas em evolução. Fornece informações sobre atividade IP maliciosa, informações de domínio, portas abertas, comunicação e muito mais. Com dados melhorados de IA de origens como DNS Passivo e certificados criptográficos, ajuda as equipas de segurança a detetar e bloquear IPs prejudiciais, simplificando as investigações e melhorando os tempos de resposta.

Antes de começar

A integração com Security Copilot funciona com uma chave de API que tem de obter antes de utilizar o plug-in. Pode criar uma nova conta de utilizador ou utilizar a sua conta existente para obter a chave.

Criar uma nova conta de utilizador e obter a chave de API

  1. Aceda à versão de avaliação do Scout Insight e preencha os detalhes necessários.

  2. Verifique o seu e-mail e defina uma palavra-passe.

  3. Inicie sessão no portal Pure Signal Scout .

  4. Aceda à página Chaves de API.

  5. Selecione Criar.

  6. (Opcional) Adicione uma descrição para a chave.

  7. Selecione Criar Chave para gerar a chave.

  8. Se o botão Criar estiver desativado, a sua organização atingiu o número máximo de chaves. Neste caso, siga estes passos:

    1. Junto a uma chave antiga, selecione Revogar.

    2. Selecione Criar Chave para começar a gerar uma nova chave.

Utilizar a sua conta existente e obter a chave de API

  1. Inicie sessão no portal Pure Signal Scout .

  2. Aceda à página Chaves de API.

  3. Selecione Criar.

  4. (Opcional) Adicione uma descrição para a chave.

  5. Selecione Criar Chave para gerar a chave.

  6. Se o botão Criar estiver desativado, a sua organização atingiu o número máximo de chaves. Neste caso, siga estes passos:

    1. Junto a uma chave antiga, selecione Revogar.

    2. Selecione Criar Chave para começar a gerar uma nova chave.

Configurar o Plug-in Pure Signal Scout no Security Copilot

  1. Inicie sessão no Microsoft Security Copilot.

  2. Acesse Gerenciar plug-ins selecionando o botão Plug-in na barra de prompts.

  3. Junto a Plug-in Pure Signal Scout, selecione Configurar.

    Imagem do plug-in Pure Signal Scout.

  4. No campo Valor , cole a chave da API Pure Signal Scout e, em seguida, selecione Guardar.

    Imagem das definições do plug-in Pure Signal Scout.

Exemplos de pedidos do Pure Signal Scout

Funcionalidade Descrição Parâmetros de Entrada Exemplo Solicitações
ScoutFoundationAPI Aceita endereços IP e permite a análise em massa, oferecendo informações sobre se o conjunto contém IPs suspeitos, maliciosos ou informativos. A API scout Foundation também fornece informações AS, códigos de país e etiquetas de chave associadas a endereços IP. Obrigatório: ips (máximo de 10 Endereços IP) - List down the malicious and suspicious IPs from these 8.8.8.8 175.155.2.48 185.220.101.101 192.42.116.175 188.165.200.97 185.220.101.88 178.20.55.182 104.182.36.17 with help of Pure Signal Scout plugin.

- Using the Pure Signal Scout plugin, find if the IP Address 185.220.100.240 is malicious ?

- List down key tag associated with IP Address 12wd85.220.100.240 using Scout plugin.
ScoutIPDetailsAPI A API Scout IP Details fornece informações abrangentes sobre um endereço IP específico, que abrange detalhes como identidade, histórico de comunicações de rede, dados DNS passivos, portas abertas, certificados X.509, impressões digitais TLS/SSL e registos WHOIS. Este ponto final permite que os utilizadores obtenham um relatório completo sobre o comportamento e as relações de um endereço IP ao longo do tempo, especificando datas de início e de fim ou selecionando um intervalo de dias. Obrigatório: IP AddressOptional: start_date :

start_date não pode ter mais de 90 dias de volta da data atual & 30 dias antes da data de fim

end_date : não pode estar nos dias futuros: min: 1, max: 30
(Desvio relativo em dias a partir da hora atual em UTC. Não pode exceder o intervalo máximo de 30 dias.)

size:
predefinição: 100, min: 1, máx: 1000
(O tamanho da resposta, nos registos, a devolver) sections: identity
comms pdns open_ports x509 impressões digitais whois summary proto_by_ip		 - Using Pure Signal Scout to find what open ports are available on this IP address 47.156.224.38?

- Are there any unusual communication patterns for this IP address 47.156.224.38? Check with the Pure Signal Scout plugin.

- What are the most frequent destinations for this IP address 47.156.224.38? Find using Scout plugin.

- Using Scout plugin find what are the connections between this IP address 47.156.224.38 and specific ASNs?

- Has this IP address 175.155.2.48 been seen in any honeypot data? Find using Scout.

- What are the potential threats associated with this IP address 175.155.2.48?

- What are the country origins of IPs communicating with this one IP 47.156.224.38?
ScoutSearchAPI A API de Pesquisa de Escuteiros fornece informações detalhadas sobre domínios e suporta consultas de pesquisa avançadas com a Linguagem de Consulta Scout. Devolve resultados que podem incluir códigos de país, informações de sistema autónomo (AS), etiquetas, dados WHOIS, portas abertas, DNS passivo (PDNS), detalhes de comunicação, informações de serviço, certificados X.509 e impressões digitais. Esta API permite que os utilizadores criem uma consulta com vários formatos, incluindo endereço IP, nomes de domínio, sites ou consultas avançadas com seletores específicos (por exemplo, pdns.domain). Pode encontrar todos os detalhes sobre os seletores de pesquisa disponíveis na documentação do Scout. Obrigatório: consulta

Opcional: start_date: não pode ter mais de 90 dias a partir da data atual & 30 dias antes da data de fim
end_date: não pode ser dias futuros: min: 1, máx. 30 (Desvio relativo em dias a partir da hora atual em UTC. Não pode exceder o intervalo máximo de 30 dias.) tamanho: predefinição: 100, min: 1, máx: 5000 (O tamanho da resposta, nos registos, a devolver)		 - Using Pure Signal Scout to find what is the WHOIS information for this domain 10crypto.top ?

- Using the Pure Signal Scout plugin can you show me the historical DNS data for this domain akamai.com?

- What are the most recent WHOIS updates for this subtitleseeker.com? Use Scout plugin.

- Using Scout to find what is the reverse WHOIS information for this domain 10crypto.top?

- Use Scout to run the query pdns.domain="*ngrok.io" and give the certificate details about top 10 associated IPs.

- What organization is associated with subtitleseeker.com in the WHOIS data? Use Scout.

Resolver problemas do plug-in Pure Signal Scout

Ocorrem erros

Se encontrar erros como "Não foi possível concluir o pedido", experimente estes passos para resolver o problema:

  1. Inicie uma nova sessão para atualizar o contexto e tente novamente o pedido numa nova sessão.

  2. Especifique um Pedido Detalhado: veja as melhores diretrizes de pedidos para Security Copilot aqui e crie pedidos detalhados de acordo com as capacidades e competências do plug-in Pure Signal Scout.

  3. Ajuste o Parâmetro de Tamanho: se o problema persistir, reduza o parâmetro de tamanho no pedido para controlar o tamanho da resposta, por exemplo, "Utilize o tamanho como 10". Isto também pode ser ajustado na API de Detalhes do IP ou na API de Pesquisa de Escuteiros para ajudar a minimizar os payloads de resposta.

Se o problema continuar, termine sessão no Security Copilot, volte a iniciar sessão e tente novamente.

Solicitações não estão a invocar as capacidades corretas

Se os pedidos não invocarem as capacidades corretas ou se parecerem estar a ativar um plug-in diferente, poderá dever-se a outros plug-ins ou plug-ins personalizados que fornecem capacidades semelhantes às do Pure Signal Scout. Por exemplo, se tiver vários plug-ins que oferecem informações de domínio ou informações de domínio de informações sobre ameaças, poderão surgir conflitos. Para priorizar e especificamente o Pure Signal Scout, considere desativar outros plug-ins personalizados. Em alternativa, pode utilizar o nome do produto Pure Signal Scout nos seus pedidos ou especificar uma determinada competência.

Faça comentários

Para fornecer feedback, contacte o Pure Signal Scout.

Confira também

Outros plug-ins para Microsoft Security Copilot

Gerir plug-ins no Microsoft Security Copilot